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(54) Signature process 

(57) The invention relates to a process for guaranteeing the data mtegrity of software for a 
control device of a motor vehicle in which the memory of the control device can store the 
software which influences its manner of operation. 

It is proposed that a key pair for encryption and decryption of electronic data be provided, 
that the first key be stored in a control device or for a control device in the motor vehicle, that 
witHTETsecond ke^^ soffw^elo Be imported be signedrthaf "tKe^sipea"soflw 
in the memory of the control device and that the signature of the software be checked by means 
of the key stored in or for the control device and then accepted when the check ends with a 
positive result. 
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Priifungsantrag gem. § 44 PatG ist gestellt 
@ Signaturverfahren 

(57) Die Erfindung betrifft ein Verfahren zur Sicherstelluhg 
der Datentntegritat einer Software fur ein Steuergerat ei- 
nes Kraftfahrzeugs, in dem in einem Speicher des Steuer- 
gerats eine das Steuergerat in seiner Wirkungsweise be- 
einflussende Software speicherbar ist. 
Es wird vorgeschlagen, eiri Schlusselpaar zum Ver- uhd 
Entschlussein von' elektronischen Daten bereitzustellen, 

den ersten Scfilussel in einem oder fur ein Steuergerat in . 

dem Kraftfahrzeug zu hinterlogen mit dem zweiten 

Schlussel eine einzuspielende Software zu signieren,' die 

signierte Software in den Speicher des Steuergerates ein- 

zuspielen und die Signatur der Software mittels dem in 

Oder fur das Steuergerat hinterlegten Schlussel zu uber- 

prufen und darin zu akzeptieren, wenn die Ube'rprufung 

mit positlvem Ergebnis veriauft. 



a> 

00 
o 

o 
o 



LU 
Q 



BUNDESDRUCKEREI 07.01 101 360/332/1 



14 



1 

Beschreibung 



DE 100 08 974 A 1 



Die Erfindiing betriiYt ein Verfahren zur Sicherstellung 
der Datenintegritat einer Software fiir ein Steuergerat eines 
Kraftfahrzeugs. 5 
- Mit dem zunehmenden Anteil der Elektronik vmd der 
KommunLkationsmoglichkeiten im und mit einem Fahrzeug 
wachsen auch die Anforderungen, welche an die Sicherheit 
gestellt werden niussen. 

In den verschiedensten Bereichen des Fahrzeugs werden lO 
Microcontroller zur Stcucrung cingcsctzt. Dicsc Stcucrgc- 
rate sind heutzutage oft uber ein Bussystem miteinander 
verbunden, und es gibt meist MogUchkeiten (z. B, Diagno- 
severbindung), von auBen auf diesen Bus zuzugreifen und 
mit den einzelnen Steuergeraten zu kommunizieren. 15 

Die Funktionsweise der Steuergerate wird durch Softwa- 
reprogramme bestimint. 

^ Bisher ist die wSofiware, die in einem vSteuergerat (auch: 
Controller) eingesetzt wird, meisl in einem nicht program- 
mierbaren Speicher abgelegi (z. B. bei maskenprogram- 20 
mierte Mikroprozessoren). Dadurch ist eine Manipulation 
der Software nicht ohne weiteres zu realisieren. Beispiels- 
weise kann der komplette Austausch eines Speicherbau- 
steins gegen einen anderen Speicherbaustein erkannt und 
cntsprcchcnd darauf rcagicrt werden. 25 

Durch den zukunftigen Einsatz von programmierbaren, 
insbesondere sogenannten flashprogrammierbaren Steuer- 
geraten im Fahrzeug wird die Gefahr jedoch groJ3er, daB un- 
befugte Manipuiationen an der Software und somit an der 
Arbeitsweise der Steuergerate durchgefuhrt werden. So .^0 
konnte der Austausch von Software seitens nicht autorisier- 
ter Personen einfach durch Neuprogrammierung mit gerin- 
gem Aufwand vollzogen werden. 

Aus Sicherheirsgrunden und zur .Erfullung von gesetzli- 
Chen Anforderungen inussen jedoch MaBnahmen ergriffen 35 
werden, die entweder eine Veranderung von Originalsoft- 
ware verhindera oder eine solche Anderung nur autorisier- 
ten Personen zugestehen. 

Im ubrigcn konnte cs sich zukiinftig als vortcilhaft crwci- 
sen, ein Gleichteile-Konzept zu Verfolgen, wobei bei unter- lO 
schiedlichen Modellen gleiche Hardware ver\vendet wird. 
Der Unterschied in der Funktionsweise liegt dann nur noch 
in der Software. Bei diesem Konzept besteht freihch die 
Notwendigkeit, daB eine bestiramte Softwju-e nur auf einem 
individuellen Fahrzeug lauffahig ist und nicht einfach ko- 45 
pierbar sein darf 

Aus dem Stand der Technik sind eine Vielzahl von Au- 
thentifizierungsverfahren und -vorrichtungen bekannt. 

So ist in der US 5.844,986 ein Verfahren beschrieben, 
welches zur Vermeidung eines nicht erlaubten Eingriffs in 50 
ein BIOS-Systems eines PC verwendet wird. Ein kryptogra- 
phischer Coprozessor, der einen BlOS-Speicher enthiilt, 
fuhrtbasicrcnd auf cincm sogcnantcn Pub hk- Key- Verfahren 
mit einem offenthchen und einem geheimen Schliissel eine 
Authentifizierung und Uberpriifung einer BIOS-Anderung 55 
durch. Dabei erfolgt die Uberprufung durch eine Priifung ei- 
ner in der einzuspielenden Software eingebetteten digitalen 
Signatur. 

Aus der R? 0 816 970 isl eine Vorrichtung zur Uberprii- 
fung einer Fin nensoft ware bekannt. Diese Vorrichtung zur 6u 
Authentifizierung eines Boot-PROM-Speichers urnfaBt ei- 
nen Speicherteil mit einern Mikro-Code. Ein Authentifizie- 
rungs-Sektor uinfaBt einen Hash-Generator, der Hash-Daten 
in Antwort auf die Ausfuhrung des Mikio-Codes erzeugt. 

Mit den obigen Verfahren oder Vorrichlungen ist jedoch 65 
nicht unmittelbar die Uberprufung einer in ein Steuergerat 
eines Kraftfahrzeuges einzuspielenden Software moghch. 

Aufgabe der vorUegcndcn Frfindung ist es, ein Verfahren 



zur Sicherstellung der Einspielung einer authentischen Soft- 
ware in ein Steuergerat eines Kraftfahrzeugs zur Verfugung 
zu stellen. 

Die Aufgabe wird durch die Merkmale im Anspruch 1 ge- 
iost. 

DemgemaB wird zunachst ein Schlusselpaar zum Ver- 
und Entschlusseln von elektronischen Daten erzeugt. Unter 
Schliissel versteht man hierbei allgemein Codier- und/oder 
Decodierparameter, welche aus an sich bekannten krypto- 
graphischen Algorithmen bekannt sind. 

Vorlicgcnd wird die Software mittcls des crstcn Schliis- 
sels mit einer elektronischen Unterschrift (Signatur) verse- 
hen. Zur Verifikation der Echtheit der Software ist in dem 
oder fiir das Steuergerat, in dem diese Software eingespielt 
werden soli, ein zugehoriger zweiter Schliissel hinterlegt. 
Mit diesem zweiten Schliissel kann die elektronische Unter- 
schrift der Software gepriift werden. Verlauft die Priifung 
positiv, so wird die Software akzepiiert und kann zur Steue- 
rung des Steuergerates herangezogen werden. 

Als Verschlusselung kann gemaB einer ersten Ausfiih- 
rungsform ein sogenanntes symmetrisches Verfahren ver- 
wendet werden, bei dem beide Schliissel identisch sind. Ei- 
gentlich handelt es sich dabei also nur um einen Schliissel, 
der an verschiedenen Stellen verwendet wird. Da aber im- 
mer mit MogUchkeiten gcrcchnct werden muB, daB ein in ei- 
nem Steuergerat hinterlegter Schliissel bekannt wird, ist die 
Sicherheitsstufe eines symmetrischen Verfahren nicht opti- 
mal. Ein solches Verfahren kann nur daher dann eingesetzt 
werden, wenn nicht allzu sic herb eitskritische Vorgange be- 
troffen sind. Zur Erhohung der Sicherheitsstufe kann ein zu- 
satzhcher Ausloseschutz in Form einer speziellen Hardware 
eingesetzt werden. 

Gerna6 einer weiteren bevorzugten Ausfuhrungsform 
wird ein asymmetrisches Verschiusselungsverfahren mit ei- 
nem geheimen und einem ofFentlichen SchlUssel gewahlt. 
Dabei kann der offentliche Schliissel iin oder fiir das Steuer- 
gerat hinterlegt sein. Mit dem geheimen Schlussel wiirde 
dann die Software signiert werden. Alternativ kann auch das 
Steuergerat oder das Fahrzeug selbst das asynchronc 
Schlusselpaar erzeugen und dann den geheimen Schlussel in 
dem Steuergerat hinterlegen. Der offentHche Schlussel 
muBte dann auslesbar sein, so daB mit ihm eine Software si- 
gniert werden kann. Natiirlich muBte bei der letzten Alterna- 
tive sichergestellt werden, daB der geheime Schiiissel nicht 
auslesbar ist. 

Bei den Verschlusselungsalgorithmen mit einem gehei- 
men und einern offentlichen Schlussel handelt es sich um 
ein sogenanntes Pubhc-Key- Verfahren, bei dem der offentli- 
che Schlussel offenthch bekannt sein darf, wogegen der ge- 
heime Schlussel nur einer autorisierten Stelle, beispiels- 
weise einem Trust-Center, bekannt ist. Solche kryptographi- 
schen Algorithmen sind z. B. Rivest, Shamir und Adleman 
(RSA-Algorithrnus), Data Encr^^ption Algorithmus (DEA- 
Algorithmus) und dergleichen Algorithmen. Mit dem gehei- 
men oder offentlichen Schlussel laBt sich - analog zur hand- 
schriftlichen Unterschrift - eine digitale Signatur zu einem 
elektronischen Dokument erzeugen. Nur der Besitzer des 
geheimen bzw. offenthchen Schllissels kann eine giiilige Si- 
gnatur erslellen. Die Hchtheit des Dokuments kann dann 
uber die Verifikaiion der Unterschrift miitels des zugehori- 
gcn offeni lichen bzw. geheimen Schliissels gepruft werden. 
Der geheime Schlussel wird manchmal auch als privater 
Schlussel bezeichnet. 

Ein nicht autorisierter Dritter, der den richtigen Schliissel 
nicht kennt, ist nicht in der Lage, eine giiilige Signatur zu er- 
slellen. Wird eine manipulierte und nicht richlig unlerzeich- 
netc Software dann in ein Steuergerat geladen, so wird dies 
mit dem zugehorigen Schlussel erkannt, und das Steuergerat 
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wird beispielsweise in einen nicht-lauffahigen Zustand ver- 
setzt. 

Gemafi einer weileren Ausfuhrungsform der Erfindung 
wird der Schliissel im Booi-Sekior des Steuergerats abge- 
legL Der Boot-Sekior isi meisl in besonderer Weise ge- 
schiitzt und kann nichi ohne weiieres uberschrieben werden. 
GemaB einer Weiterbildung kann der Boot-Sektor nach dem 
Beschreiben und der Eingabe des Schlussels "abgesperrt" 
weiden, so daB ein weiterer Zugriflf, insbesondere ein weite- 
res Beschreiben, nicht mehr moglich ist. Damit wiirde si- 
chcigcstcLLt wcrdcn, daS der im Boot-Scktor abgclcgtc 
Schliissel gegen Manipulation geschiitzt ist. 

Um die Anforderungen eines ausschlieSlich fahrzeugin- 
dividuellen Einsatzes einer Software zu ermdglichen, ent- 
halt die fiir ein Steuergerat eines bestimmten Fahrzeugs vor- 
gesehene Software fahrzeugindividualisierende Informatio- 
nen, beispielsweise die Fahrgeslellnunruner oder andere 
fahrzeugindividuelle Dalen. Diese Informationen sind der 
Software zugeordnei oder in diese integriert. Erst nach der 
Zuordnung oder Integration dieser Daten zur bzw. in die 
Software wird diese dann mil dem dafur vorgesehenen 
Schliissel signiert. Ein Sieuergeriit akzeptierl - wie oben be- 
schrieben - nur dann die Software, wenn die Signatur niit 
dem anderen ,zugeordneten Schliissel als einwandfrei cr- 
kannc wird. Da die Signatur von der in der Software cnthal- 
tenen fahrzeugindividuellen Infonnation abh^ngt, kann 
diese nicht nachtraglich verandert werden. Es kann nur eine 
Software lauffahig fiir ein Steuergerat eines Fahrzeugs ein- 
gespeist werden, wenn die. fahrzeugindividuelle Information 
nicht verandert ist und init derjenigen des Fahrzeugs tai- 
sachlich iibereinstiinmt. Ein Kopieren einer solch fahrzeu- 
gindividualisierten Software auf ein anderes Fahrzeug ist 
damit unmoglich, da die fahrzeugindividuelle Information 
ohne Verletzung der Signatur nicht verandert werden kann. 

Um nicht jedesmal beim Start eines Fahrzeugs und dem 
Hochlaufen der Steuergerat e eine Uberpriifung der Software 
durchfiihren zu miissen, wird eine solche Uberpriifung vor- 
zugsweise zumindest beim Einspielen durchgefiihrl. Bei ei- 
ner einwandfrei signicrt.cn Software kann dicsc dann cnt- 
sprechend gekennzeichnet werden, beispielsweise durch das 
Setzen eines sonst nicht zu beeinflussenden Rags in dem 
Steuergerat. Nach dem Setzen dieses Flags ist die Software 
auch bei weiteren Hochlaufen akzeptiert." Auf diese Weise 
konnen -Verzogerungen beim nonnalen Fahrzeugstan ver- 
mieden werden. Sicherzusieilen ist hierbei jedoch, daB die- 
ses Flag nicht von auBen zu beeinflussen ist. 

Um eine weilere Sicherheitssiufe beim Einspielen von 
Software in den Speichem des Steuergeriites zu schaffen, 
sollie gemaR einer weileren Ausfiihrungsform der Erfindung 
vor dem Einspielen der SofivvLirc ein Zugang zum vSpeicher 
des Steuergerates nur mil entsprechender Berechtigung 
moglich sein, Dazu isi vor dem tjberspielen cier signierten 
Software ein "AufschlicRcn" des Steuergerates in cincm An- 
'meldeschritt vorgcsehen. Bei der Verwendung uhterschied- 
licher Zugangslevel bei der .Anmeldung konnten iiberdies 
verschieden ausgestaltete Zugriffsrechte vergeben werden. 
Bei einem DiagnosezugritT ware beispielsweise zunachst 
eine Anmeldung notwendig, wodurch das Steuergerat iiber 
die eingegehene /.ugangsin formation die Zugriffsrechte und 
die damit verbundene Berechtigungsstufe erkennt. Je nach 
Rechtevergabe konnen die Zugriflsberechtigungen von un- 
kriiisch bis sehr kriiisch eingestuft werden. Gemafi einer 
Ausfuhrungsform wird ein Code vom Steuergerat angefor- 
derl und auf Giiliigkeii iiherpriift. Dazu kann beispielsweise 
cine Zufallsxahl im Steuergerat gcnericrt werden. die dann 
vom Zugrcifenden in verarbciieier Weise, z. B. anders co- 
dien. oder signiert, zuriickgereicht wird. Im wSteuergerat wird 
diese Information dann, beispielsweise mittels eines eigenen 
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Authentifizierungs schliissel, ilberpnift. 

Es ist auch moglicb, die Zugriffsrechtevergabe dyna- 
misch zu gestaiten. Beispielsweise konnen Zugangszertifi- 
kate vergeben sein, aus deren Zertifikatsinformationen die 
5 Zugangsstufe hervorgehl. Wird ein Zugangszertifikat dann 
einmal akzeptiert, was wiederum iiber die Priifung einer Si- 
gnamr mit einem Schlussel geschehen kann. so werden 
darin aufgelisiete Rechte zugestanden. 

Ein evil. ausschlieBlich fur die Zugriffssteuerung vorge- 

10 sehenes Steuergerat sollte gegeniiber den iibrigen Steuerge- 
ratcn wcgcn dor zcntralcn Sichcrhcitsfunktion hinsichtlich 
der Vergabe von Authentifizierungsrechten nicht frei zu- 
ganglich im Kraftfahrzeug angeordnet sein, da. durch den 
physikalischen Ausbau eines Steuergerates die oben be- 

15 schriebenen Schutzmechanismen umgangen werden konn- 
ten. Ein besonderer, beispielsweise mechanischer Ausbau- 
schutz, eines solchen Sicherheitssteuergerates ist daher 
wiinschenswert. 

Daruber hinaus kann eine besondere Sicherheilsstufe 

20 auch durch die Gestalmng eines Steuergerateverbundes er- 
reichi werden, bei dem verschiedene Steuergeraie zusam- 
mengeschaltet sind und sich bedingen bzw. gegenseidg 
iiberpriifen. 

Um ferner die Gefahr auszuschlieBen, daU einzelne Steu- 

25 crgcrat ausgcbaut und gcgcn cin andcrcs crsctzt wcrdcn, 
kann zusatzlich ein eigener Steuergeriiteausbauschutz sinn- 
voU sein. Zu diesem Zweck wird beispielsweise in einem 
Fahrzeug, in dem die Steueigerate integriert sind, spora- 
disch eine Steuergerate-Authentitatsprufung durchgefiihrt. 

30 Dazu wird eine Anfrage an Steuergerate gerichtet, die diese 
mit einer bestimmten ei^warteten Infonnation beantworten 
mussen. Stimmt die tatsachlich von dem zu uberpriifenden 
Steuergerat abgegebenen Infonnation nicht mit der erwarle-' 
ten Infonnation uberein oder aniwortet das Steuergerat 

35 nicht, so werden geeignete SicherungsmaBnahmen ergrif- 
fen. Bei nicht sicherheitskritischen Steuergeraten kann deis 
Steuergerat .beispielsweise aus dem Kommunikationsver- 
bund ausgeschlossen werden. Ist das Steuergerat fur den Be- 
tricb des Fahrzeugs wichtig, so wird cs beispielsweise rcgi- 

40 slriert, markiert oder in eine Liste eingetragen, so daB die 
hardwaremaBige Manipulation am jeweiligen Sieueigerat 
•zumindest nachvollzogen werden kann. Bei einer Ausfuh- 
rungsfonn miissen die Steuergerate auf Anfrage mittels ei- 
nes geheimen Authentifikationsschliissel antworten. Ein il- 

45 legal ausgetauschtes Steuergerat verfiigt iiber einen solchen 
Schlussel nicht und wird dann erkannt und entsprechend be- 
handelt. 

Die vorliegende Erfindung wird nachfolgend anhand von 
Ausfiihrungsbeispielen und mil Bezug auf die beiliegenden 
50 Zeichnuugeii ruiher erlautert. Die Zeichnungen zeigen in 

Fig. 1 eine schematische Darsiellung einer Steuergerate- 
strukmr in einem Fahrzeug, 

Fig. 2a und Pig. 2b cine schematische Darstcllung des 
Abiaufs einer digiialen Signatur einer Software sowie deren 
55 Uberpriifung, 

Fig. 3a und Fig. 3b eine Darstcllung des Abiaufs der digi- 
talen Signatur der Software aus Hg. 2 jedoch in anderer 
Darsiellungsweise, 

Fig. 4 eine DarslelUmg des Abiaufs der Erstellung einer 
60 Signatur durch ein Trust- ('enter. 

Fig. 5 eine 'Darstcllung eines Algorithmus fur spezielles 
Uberprtifungsverfahren von fahrzeugindividuellen Infoniia- 
t.ioncn, 

Pig. 6a und 6b ein Schaltblock- und Ablaut~diagramm fiir 
65 cine Autheniilizierung gegenuber einem Steuergerat und 

Pig. 7 cin Ablaufdiagramm fiir ein Einlesen von Software 
in ein Sleuergerat.. 

In Fig. 1 ist in blockdiagrammweise eine Steuergerate- 
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slrukiur init miteinander vemetzten Einheiten abgebildet. 
Das Boardnetz besteht hierbei aus mehreren Teilnetzen 
(LWL-Most, K-CAN System, Powertrain-CAN etc.), die 
zuin Teil unterschiedliche Ubertragungsgeschwindigkeiten 
besitzen und durch sogenannte Gateways (Zentrales Gate- 
way Modul, Controller Gateway) miteinander verbunden 
sind. 

Mitlels des Zentralen Gateways 14 ist ein Diagnosebus 16 
mit 'alien ubrigen Netzen mittelbar oder unmittelbar gekop- 
pelt. Der Diagnosebus 16 stellt eine der wichtigsten Verbin- 
dungcn zur Umwclt dar. Ubcr cincn Diagnosctcstcr, der an 
einer OBD-Steckdose am Ende des Diagnosebuses 16 ange- 
schlossen ist, und unter Zwischenschaltung des zentralen 
Gateways 14 konnen samtliche Controller, Gateways und 
Steuergerate im gesamten System angesprochen werden. 

Altemativ besteht die Moglichkeit, iiber das GSM-Netz 
20 und ein Telefonsystem 18 im Fahrzeug auf die Gerate im 
Fahrzeug zuzugreifen. Damit ist prizipiell ein Remotezu 
griff auf das Fahrzeug-Boardnetz mogUch. Das Telefonsy 
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blic-Key-Algorithmen" mil asynchronen Schliisselpaaren. 

Zunachst soli naher auf die verwendete Verschliisselung 
eingegangen werden, Bei dem vcrliegenden Authentifizie- 
rungsverfahren wird eine asynchrone Verschliisselung be- 
vorzugt. Bei symmeirischen Schliisseln muB jede Seite im 
Besitz des "Geheimnisses" sein. Sobald ein synchroner 
Schlilssel neben den autorisierten Stellen auch noch Dritten 
bekannt ist, kann keine einwandfreie Sicherungsvorkehrung 
garantiert werden. Da ein Schlussel des Schliisselpaares bei 
dem vorliegenden Verfahren jedoch im Steuergerat eines 
Kraftfahrzcugs abgcspcichcrt scin muB und somit dcsscn 
Geheimhaltung nicht sichergestellt werden kann, ist die 
Wahl eines symmetrischen Schliisselpaares nicht ratsam. 

Im Gegensatz zu der symmetrischen Verschliisselung ent- 
wickelten W. Diffie und M. Hellman 1976 die sogenannte 
Public-Key-Kryptografie. Bei dieser Verschliisselungsart 
wird ein Schliisselpaar mit einem offentlichen und einem 
geheimen Schlussel erzeugL Mit dem geheimen Schliissel 
kann man eine Signatur eines elektronischen Dokumentes 



stem 18 stellt hierbei ebenfalls ein Gateway zwischen dem 20 durchfUhren. Diese Signatur ist einzigartig und kann in der 



Mobilfunknetz (GSM-Netz) und den Ubrigen Fahrzeugbus 
teilnehniern dar. 

Im Falirzeugbus integriert ist ein Car-Access-System 
(CAS) 22, das den Zutritt zum Fahrzeug iiberwacht. Es be- 
inhaltct als wcitcrc Funktion cine clcktronischc Wcgfahr- 
sperre. 

Ein Controller Gateway 21 stellt eine Schnittstelle zwi- 
schen einem CD-Player und dem Bordnetz dar. Beim Con- 
troller Gateway 21 werden auch Eingaben, die der Fahrer 
uber die verschiedenen Instrumente macht, in Nachrichten 
umgesetzt und an die jeweils angesprochenen Steuergerate 
weitergeleitet. 

Daneben sind mehrere Steuergerate (STGl bis STG5) 
Steuergeraten dargestellt. Die Aufgabe eines Steuergerar.es 
besteht nicht nur in der Steuerung einer bestimmten Einheit 35 
ill! Fahrzeug, sondern auch in der Kommunikation zwischen 
den Geraten selbst. Die Kommunikation im Fahrzeug ist 
"Broadcast orientiert". Ein Erzeuger von Informationen, der 
den Buszugriff gcwonncn hat, scndct seine Informationen 
grundsatzlich an alle Steuergerate. Der Datenbus, der mit 
dem Controller verbunden ist, wird dazu permanent abge- 
hort. Bei einer Kommunikadon mit der Umwelt hingegen, 
beispielsweise uber den Diagnosebus, wird jedes Steuerge- 
rat mit einer eindeutigen Adresse gezielt angesprochen. 

Die Software, die die Funktionalitat der Steuereinhei! be- 
siiinnil, is! in Zukunft iiberwiegend in einem programniicr- 
baren Speicher, beispielsweise in einem Flash-Speicher, un- 
rergebracht. Bei einer Hashprogrammierung konnen nur 
ganze Blocke geloschr und neu beschrieben werden. Das 
Loschen eiiizelner Bits ist nicht moghcli. Je nach Steuerge- 
raten werden unterschiedliche Arten von Mikroconiputem 
eingesetzi. Je nach Anforderungen sind dies 8-Bit, 16-Bit 
Oder 32-Bit.-Prozcssorcn. Allc dicsc Steuergerate odcr Con- 
troller sind in unterschiedhchen Varianten verfiigbar. Sie 



Regel nicht nachvoUzogen werden. Mit dem offentlichen 
Schlussel kann die Signatur uberpriift werden. 

Das Public-Key- Verfahren hat den Vorteil, daB ein 
Schlussel des Schliisselpaares offentlich bekannt sein darf. 
25 Da die hcutc bckanntcn Pubhc-Kcy- Verfahren abcr schr rc- 
chenintensiv sind, verwendet man haufig Hybrid- Verfahren, 
also eine Kombination aus symmetrischen und asymmetri- 
schen Verfahren. Bei dem Hybrid- Verfahren wird ein sym- 
metrischer Schlussel mittels eines Public- Key- Verfahrens 
zwischen den Komrnunikationspartnem ausgetauscht. Die 
eigentliche Kommunikation wird dann mit dem symmetri- 
schen Schlussel verschliisselt- 

Durch die Trennung von geheimen und offentlichen 
Schlusseln lassen sich Authendfizierungsverfahren und di- 
gitale Signaturen wie oben beschrieben realisieren. Durch 
den Besitz des geheimen Schliissels lat3t sich eine Identitat 
eindeutig nachweisen, und es kann eine Signatur, wie bei ei- 
ner handschriftlichen Unterschrift erstellt werden. Ein be- 
kanntcs Public-Kcy-Krj^ptosystcmc ist das obcn bcrcits cr- 
wahnte RS A -Verfahren. Andere Public-Key-Krypto- Ver- 
fahren beruhen auf Problemen in bestimmten mathemati- 
schen Gruppen, Logarithinen zu berechnen (D iskreter- Log- 
arithm u s - Prob 1 e m ) . 

Um ein Dokunient digital zu signieren, verschliisseit die 
45 alleinig autorisierte Stelle das Dokument mit dem geheimen 
Schlussel und hiingi einen Signaturwert an das Dokument 
an. Zur Verifikation der Signatur wie die Signatur mit dem 
offentlichen Schlussel entschlusselt und der resulderende 
Wert mit dem ursprungHchen Dokumentenwert verglichen. 
50 Stinmien beide Dokumentenwerte uberein, so ist die Signa- 
tur giiltig und die Software kann akzeptiert werden. 

Vorhegend ist jeweils ein offendicher Schlussel von der 
autorisierten Stcllc bei der Fahrzcugproduktion in jcdcm 
Steuergerat eines Fahrzeugs, welches beziiglich der Soft- 



40 



weisen beispielsweise einen Rash-Speicher auf dem Board 55 ware modifizierbar sein soil (z. B. Geiriebesteuergerat) 



Oder direkt im Prozessor selbst integriert auf. 

Der Ablauf einer Sicherstellung der Datenintegritat einer 
Software, fiir ein Steuergerat mit einem Flash-Speicher ist 
nachlblgend anhand der Fig. 2a und 2b naher dargestellt. 

Zunachst wird in einem ersten Schritt von einer einzigen 
autorisienen Stelle, beispielsweise in einem sogenannten 
Trust-Center, ein Schliisselpaar bestehend aus einem otfent- 
Hchen Schlussel 58 und einem geheimen Schlussel 52 be- 
rcitgestcUt. Ein Schlussel ist dabei ein elektronischer Code, 
mit dem cine Tnfonnation ver- und/oder entschliisselt wer- 
den kann. Beispielsweise verwendet man dabci bekanntc 
[cryptograph ische Algorithmen, wie die bereit.s oben er- 
wahnten RSA oder DBA Algorithmen, also sogenannte "Pu- 



ab- 



60 



65 



gespeichert. 

Ein Kunde bestellt nun bei einem Handier 100 (vgl. Kig. 
4) eine bestimmie zusatzliche Funktion fiir sein Kraftfahr- 
zeug, beispielsweise eine bestinunte Schaltcharakteristik bei 
der Auswahl der t)berseizungsstufen. Diese Funktion kann 
durch die Einspielung neucr Software in ein Getriebesteuer- 
gerat des jeweiligen Fahrzeugs reahsiert werden. 

Der Handler 100 slellL daraufliin eine entsprechende Sofl- 
wai e 150 zur Verfiigung und sendet diese zusammen mit der 
Fahrgestellnummer des T-alirzeugs des Kunden zum Trust- 
Center 104, vi/elches alleinig berechtigt ist, diese Software 
zu unterzeichnen (signieren). Im Trust-Center 104 wird die 
Software zusammen mil der ubcrmittelien Fahrgestellnum- 
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mer mit dem gebeimen Schliissel signiert 

Diese Vorgehensweise ist auch in Fig. 2a daigestellt 
(Software 50, geheimer Schliissel 52), wobei hier jedoch 
keine Fahrgestellnummer iibermitielt wird. 

Die signierte Software 106 (vergl. Fig. 4 und Bezugszei- 5 
chen 56 in Fig. 2a) wird dann an den Handler 100 zuriick- 
ubermittelt, welcher sie ins Kraftfahrzeug 12 des Kunden 
einspielen kann. 

Die Ubermittlung an das Trust-Center 104, die Signie- 
rung und das Zuruckiibennitteln kann auf elektronischem 10 
Wcg rclativ schncU gcschchcn. 

Im nachsten Schritt wird die signierte Software 56, 106 
vom Handler 100 in das Fahrzeug 12, besser in das Getrie- 
besteuergerat, eingespielt. Die Obertragung kann iiber den 
Diagnosestecker und den Diagnosebus 16 erfolgen. Altema- IS 
tiv kann eine Kinspielung auch iiber das GSM-Netz femge- 
sieuert erfolgen. 

Beim Einspielen erfolgt zunachst eine Anmeldung und 
Ideniifizierung des Handlers (vgl. Schritt 500 in Fig. 7). 
Dazu sendet der Handler 100 eine Steuergerateadresse und 20 
eine zugehorige Kennung an das Fahrzeug. Bei erfolgrei- 
cher Ideniifizierung wird das Steuergerat (hier: das Getrie- 
besteuergerat) zum Einlesen von neuer Software bereitge- 
schaltet. Damit ist das Einlesen (auch Hashen) von neuer 
Software in das Steuergerat moglich (vgl. 502 in Fig. 7). 25 
Nach dem- Einspielen der neuen Software in das Steuergerat 
hat der Handler 100 seihen Teil geleistet. 

Beim nachsten Betrieb iiberpruft das Steuergerat 24 (Fig. 
2) beim Hochlaufen die Signatur der eingespielten neuen 
Software 56 mittels des otfentlichen Schliissels 58. Dies 30 
wird anhand von Fig. 2b liaher erlautert: Mit dem offentli- 
chen Schliissel 58 wird aus der Signatur in einer Einheit 60 
des Sleuergerates 24 eine GroBe bestimmt, die mil dem elek- 
ironischen Dokument 62, welches verschlusselt worden isr, 
iiberein slim men mul3. Diese Ubereinslimmung wird in ei- 35 
nem Koniparator 64 gepriift. Ist eine Ubereinslimmung ge- 
geben, so wird die eingespielie Software 50 aikzeptiert und 
das Steuergerat 24 mil dieser Software betrieben. Ist keine 
Ubcrcinstimmung gcgcbcn, so wird das Steuergerat 24 mar- 
kiert. und in einer Lisle abgespeichert. Bei einer Diagnose 40 
konnen die Daten dieser Lisle dann ausgelesen werden. Es 
wird dann eine we'ilere Gelegenheil zum Einspielen korrek- 
ter Software gegeben. Wird keine korrekt signierte Software 
eingespielt, kann das Fahrzeug nichl weiter betrieben wer- 
den. 45 

In den Fig. 3a und 3b ist die Ver- und Entschlusselung et- 
was genauer dargeslelll, Bei der Signatur der Software wird 
nichl die gesamte Software signiert.. Dies ware ineffizienl. 
Viehnehr wird aus der Software liber eine an sich bekannte 
Hash- Funk lion ein sogenannter Hash- Code 51 generiert, bei 50 
dem es sich um eine digilale Infonnation mil vorgegebener 
Lange handeli. Je nach Sicherheitsbedurfnis kann eine 
Langc von z. B. 16 Bit, 64 Biiodcr 128 Bit gcwahlt wcrdcn. 
Erst dieser Hash-Code 51 wird dann signiert (Signatur 54)- 
und die Signatur an die Software 50 angehangt. Die Signie- 55 
rung des Hash-Codes ist wesenilich effizienter als die vSigna- 
tur von langen Software-Dokumenten. 

Die Hash-Funktionen haben dabei folgende wesentliche 
Eigenschaften: Es ist schwer, zu gegebenem Hash-Wert. h ei- 
nen Wert M eines Dokumcnts zu fihden (Einwegfunklion). 60 
Zudem ist es schwer, eine Kollision, d. h. zwei Werie mit M 
und M\ bei denen die ?Iash-Wene gleich sind, zu finden 
(KolHsionsresislcnz). 

Bei der Ubeipmfung der Signalur 50 wird durch Anwen- 
dcn des offeniHchen Schliissels auf die Signalur (Bezugszei- 65 
chen 53 in Fig. 3b) ein Hash-Werl 51* ermiuelt. der mil dcni 
laisachhchcn Hash-Werl 51 der Software 50 in einem Koiu- 
parator 66 verglichen wird. Stimmen bcide Hash-Werte 



iiberein, so wird die Software 50 akzeptiert.- Es handelt sich 
dann um eine authentische Software und das Steueigerat 
kann mit der eingespielten Software betrieben werden. Ist 
der Vergleich nichl positiv, bricht das Steueigerat seinen Be- 
trieb ab und wartei bis eine einwandfreie Software mil ord- 
nungsgemaBer Signatur eingespielt worden ist. 

Neben dem oben beschriebenen Authentifizierungsablauf 
wird zur Authentifikation eines Kormnunikationspartners A 
gegenuber einem Konununikadonspartners B haufig auch 
ein soge nannies Challenge-Response- Verfahren verwendetr 
Dabci sendet B zunachst eine Zufallszahl RND an A. A si- 
gniert diese Zufallszahl mittels seines geheimen Schliissels 
und sendet diesen Wert als Antwort an B. B verifiziert die 
Antwort mittels seines dfTentlichen Schliissels und priift die 
Authentifizierung von A. 

Hine solche Authentifizierung ist in den Kig. 6a und 6b 
dargestellt. In Fig. 6a ist die Kommunikationsschleife zwi- 
schen einem Diagnosetester und einem Steuergerat darge- 
stellt. Bei der Authentifizierung nach dem Challenge-Re- 
sponse- Verfahren sendet ein Benutzer mittels des Diagnose- 
tesiers zunachst eine Informaupn mil einem bestimmien Zu- 
griffslevel LI an das Steuergerat und fordert eine Zufallszahl 
von dem Steuergerat an (Schritt 400). Das Steuergerat ant- 
wortet mit der Obertragung einer Zufallszahl (Schritt 402). 
Im Diagnosetester wird die Zufallszahl mit einem geheimen 
Schliissel signiert und dann wird das Ergebnis wieder an das 
Steuergerat geschickt (Schritt 404). Im Steuergerat wird aus 
der Signatur mithilfe des offentlichen Schlussels wiederum 
die Zufallszahl bestinunt. Sdmmt die so errechnete Zahl mit 
der vorher vom Steuergerat Ubermittelten Zufallszahl iiber- 
ein, wird der Zugriff fiir diesen Benutzer mit der gewiinsch- 
tcn Sicherheitssiufe fur die Dauer des Diagnoseverfahrens 
freigegeben.' Damit kann er bei entsprechender Sicherheits- 
einstufung ein Soft ware in den Speicher eines Sleuergerates 
einlesen. 

Nachfolgend wird die Individualisierung der Software fiir 
ein beslimniles Fahrzeug beschrieben. Bereits bei der Be- 
zugnahme auf den Signiervorgang gemaB Fig. 4 wurde er- 
wahhl, daB mil der Software cine Fahrzcugidcntifikation 
iibermiiieh wird, die ledigUch auf ein bestinimtes Fahrzeug 
zulrifft. Die Software wird dann zusammen mit der Fahrzeu- 
gidentifikation (z. B. der Fahrgestellnummer). signiert. und 
das Pakei an den Handler zuriickgeschickt. Die Signatur 
ging dabei in den Hash-Code (beschrieben bei der Ausfiih- 
mngsfonn gemfiK der Fig, 3a und 3b) ein und beeinfluBl die^ 
Signalur enischeidend mil- 
Das Steuergerat akzeptiert - wie bereits oben beschrieben 
- nur eine korrekt signierte Software, ist die Signalur kor- 
rekt, wird femer uberpruft, ob die der Software zugeordnete 
Fahrzeugidentifikation mil derjenigen des Fahrzeug taisiich- 
lich Libereinstiinnir. Wurde dies der Fall sein. so wiirde die 
Software freigeschaltei. Mit dieser Vorgehensweise kann die 
fahrzcugindividualisicrtc Software nur in cincm bcstimrntcn 
Zielfahrzeug verwendet werden. Fiir ein anderes Fahrzeug 
muB wiederum eine andere mit einer individuellen Signatur 
versehene Software beschafft werden. ^ 

Um eine Individualisierung einer Software durchtiihren 
zu konnen, sollte die Fahrgestellnuimner bereits in der Fer- 
ligung in die enisprechenden Steuergerate in nicht manipu- 
lierbarcr Weise eingetragen werden. Die Fahrgestellnummer 
muB auch nach einem Loschen eines Speichers noch in dem 
wSteuergerai vorhanden sein. Dies kann dadurch realisieri 
werden, daB tlie Fatirgestellnummer beispielsweise in dem 
oben bereits ei-vvahnten und besonders geschiitzen Car-Ac- 
cess-Syslein in einem nicht fluchtigen und nicht ausiausch- 
baren Speicher eingetragen ist. 

Folgende Vorgehensweise gemiiB Fig. 5 sicherl eine nichl 
manipulierbare Abfrage. ZusatzUch zur Fahrgesiellnummer 
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benotigt man ein weiteres fahrzeugindividuelles Schliissel- 
paar bestehend aus einem geheimen Schlussel IFSs und ei- 
nem offenUichen Schlussel IFSp. Die Zuordnung der Fahr- 
gestellnuimner und der beiden Schlussel erfolgt an zentraler 
Stelle, also in dem Trust-Center. Der geheime Schlussel 5 
IFSs ist in einem Car- Access-System 210 gespeicheri und 
zwar in nichl auslesbarer Form. 

Die Fahrgestellnunuiier befindet sich auch heute bereits 
ini Zugriffsbereich des Car- Access-Systems 210. 

In der neu einzuspielenden Software wird nun zusatzlich 10 
zur FahrgcstcUnummcr noch der offcntlichc fahrzcugindivi- 
duelle Schlussel IFSp 202 hinterlegt (Schritt 200 in Fig. 5). 
Danach wird die gesamte Soft\^'are im Trust-Center durch 
die Signatur 204 gesichert. Nach dem Einspielen der Soft- 
ware in das Steuergerat wird zunachst die Korrekdieit der 15 
Signatur 204 gepriift, 

Danach iiberpriift das Steuergerat 206 mitteis der vorher 
beschriebenen Challenge-Response- Abfrage, ob die Fahrge- 
stellnummer in der Software mit derjenigen des Fahrzeugs 
ubereinstimmt. Dazu sendet das Steuergerat 206 die in der 20 
Software enthaltene Fahrgestellnummer FGNsw und eine 
Zufallszahl RANDOM an das Car- Access-System 210. Dort 
wird die gespeicherte FalirgesteUnumnier FGN mit der emp- 
fangenen Fahrgestellnummer FGNsw verglichen. Anschlie- 
Bcnd wcrdcn die bcidcn Wcrtc mit dem gchcimcn Schlussel 25 
IFSs signiert und wieder an das Steuergerat 206 zuriick ge- 
sendet. Das Steuergerat 206 kann nun mit dem offentlichen 
Schlussel IFSp die signierte Sendung iiberpriifen und die er- 
haltenen Werte mit dem Challenge- Wert vergleichen, der am 
Anfang an das Car- Access-System gesendet wurde. Stim- -^0 
men die Werte uberein, so kann die Software akzeptiert wer- 
den (Schritt 216, o. k.). Ansonsten wird die Software nicht 
akzeptiert (Schritt 218, Nein). 

Als Variante dieses Verfahren kann anstelle eines indivi- 
duellen SchlUsselpaares IPSs und IFSp auch ein entspre- 35 
chendes nicht fahrzeugindividualisiertes Schliisselpaar, das 
bereits im Fahrzeug gespeichert ist, verwendet werden. Da- 
durch entfallt die Verwaltung fur diesen Schlussel. Ebcnso 
ist naturlich cin cntsprcchcndcr Mcchanismus mit einem 
symmetrischen kryptograflschen Verfahren moglich. Dies 40 
hat zwar Vorteile bei der Abarbeitung, bringt aber die Ge- 
fahr des Ausiesens des symmetrischen Schliissels aus den 
Steuergeraten mit sich. 

Naturlich ist bei alien oben genannten Verfahren. absolu! 
sicherzustellen, daB die geheimen Schlussel des Trusl-Cen- 45 
ters auch geheim bleiben. Insgesarnt bietet die vorgenanntc 
Kryptografie eine gute Moglichkeit, nur ordnungsgeniaBe 
Software in Fahrzeuge, bzw. in bestimmte Fahrzeuge einzu- 
spielen und somit unbefugten Manipuladonen vorzubeugcn. 

5iJ 

Patentanspriiche 

1 . Verfahren zur Sichcrstcllung der Datcnintcgrit^t ci- 
ner Software fiir ein Steuergerat eines Kraftfahrzeugs, 
in dem in einem Speicher des Steuergerats eine das 55 
Steuergerat in seiner Wirkungsweise beeinflussende 
Software speicherbar ist, gekennzeichnet duix'h die 
Schritte: 

Rereitstellen eines Schliis.selpaares zum Ver- und Rnf- 

schlusseln von elekironischen Daien, 

Hinterlegen eines ersten Schlussels in cineni oder tiir 

ein Sreuergerai in dem Kratifahrzeug, 

Si^nieren einer einzuspielenden Sorivvare mil dem 

zweiten Schlussel, 

Einspielen der signicrten Software in den Speicher des 65 
Steuergeratcs, 

Uberprufung der Signatur der Software mitteis dem in 
Oder fiir das Steuergerat hinterlegten Schlussel und Ak- 



zeptieren der eingespielten Software, wenn die t)ber- 
priifung mit positivem Ergebnis verlauft. 

2. Verfahren nach Anspnich 1, dadurch gekennzeich- 
net, daB ein symmetrisches Schliisselpaar verwendet 
wird, bei dem beide Schlussel gleich sind. 

3. Verfahren nach Anspruch 1, dadurch gekennzeich- 
net, daB ein asymmetrisches Schliisselpaar mit einem 
geheimen und einem offentlichen Schliissel verwendet 
wird. 

4. Verfahren nach Anspruch 3, dadurch gekennzeich- 
net, daB der offcntlichc Schliissel im odcr fiir das Steu- 
ergerat hinterlegt ist und mit dem geheimen Schliissel 
die Software signiert wird. 

5. Verfahren nach Anspruch 3, dadurch gekennzeich- 
net, daB das Fahrzeug, insbesondere das oder ein Steu- 
ergerat im Fahrzeug, ein asynchrones Schliisselpaar er- 
zeugt, daB der geheime Schliissel im Fahrzeug, insbe- 
sondere in einem Steuergerat, hinterlegt wird und daB 
der offentliche Schlussel zum Signieren einer Software 
aus dem Fahrzeug auslesbar ist. 

6. Verfahren nach einem der vorhergehenden Anspni- 
che, dadurch gekennzeichnet, daB der im Steuergerat 
abgelegte Schlussel im Boot-Sektor abgelegt wird. 

7. Verfahren nach Anspruch 6, dadurch gekennzeich- 
net, daB der Bootscktor nach dem Bcschrcibcn und der 
Eingabe des Schliissels abgesperrt wird und so gegen 
einen weiteren Zugriff, insbesondere einen Schreibzu- 
griff, geschiitzt ist. 

8. Verfahren nach einem der vorhergehenden Ansprii- 
che, dadurch gekennzeichnet, daB die Software zu- 
nachst auf eine Information mit bestimmter Lange ab- 
gebildet wird und diese Infonnation dann signiert. wird. 

9. Verfahren nach Anspruch 8, dadurch gekennzeich- 
• net, daB als Abbildungsfunktion eine Hash-Funktion 

gewahli wird. 

10. Verfahren nach einem der vorhergehenden An- 
spruclre, dadurch gekennzeichnet, daB der Software zu- 
mindest eine fahrzeugindividuelle Infonnation eines 
das Steuergerat cnthaltendcn Fahrzeugs hinzugcfiigt 
wird, daB mit der Software die zumindest eine fahrzeu- 
gindividuelle Information signiert wird, daB neben dem 
Uberpriifen der Signatur der Software auch die fahr- 
zeugindividuelle Information iiberpriift wird und daB 
die Software nur dann im Steuergerat akzeptiert wird, 
wenn auch die fahrzeugindividuelle Information der 
Software mit derjenigen des Fahrzeugs iibereinstimmt. 

11. Verfahren nach Anspruch 10, dadurch gekenn- 
zeichnet, daB zur Uberprufung der fahrzeugindividuel- 
len Information ein eigenes Schlusselpaar (fahrzeugin- 
dividuelles Schlusselpaar) erzeugt wird, wobei in einer 
Fahrzeugsicherheitseinheit die fahrzeugindividuelle 
Information und ein erster Schliissel des eigenen 
Schliissclpaarcs vorhandcn sind, in der Software ncben 
der fahrzeugindividuellen Infonnation noch der zweite 
Schliissel des eigenen Schliisselpaares abgelegt ist und 
in einer separaten Routine im Fahrzeug iiberpruft wird, 
ob die beiden Schliissel des eigenen Schliisselpaares 
zusammenstimmen, um bei einer Bejahung die einge- 
spielte Software zu akzeplieren. 

12. Verfahren nach einem der vorhergehenden An- 
spriiche, dadurch gekennzeichnet, daB die Software zu- 
mindest beim ersirnaligen Plochlauiten des Sieuergera- 
les geprCift und dann entsprechend gekennzeichnet 
wird. 

13. Verfahren nach einem der vorhergehenden An- 
sprLiche, dadurch gekennzeichnet, daR bei einem exler- 
nen Zugritf auf das Steuergerat eine Zugangseinheit 
priift, ob eine Berechtigung fur den Zugriff vorliegt. 
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14. Verfahren nach Anspruch 13» daduich gekenn- 
zeichnet, daB ein Code von einem Steuergerat angefor- 
dert wird und der Code auf Richtigkeit iiberpriift wird. 

15. Verfahren nach Anspruch 13 oder 14, dadurcb ge- 
kennzeichnei, daB ein Sieuergerat eine Zufallszahl aus- 5 
gibt» die von dem Zugreifer zu signieren ist und dafi die 
Signatur im Steuergerat, insbesondere niittels eines 
Authentifizierungsschliissels, uberpriift wird. • 

16. Verfahren nach einem der Anspriiche 13 bis 15, 
dadurch gekennzeichnet, daB bei der Abfrage der Zu- 10 
griffsbcrcchtigung cine Bcrcchtigungsstufc fcstgcstcUt 
wird und Zu griff saktionen in Abhangigkeit von derBe- 
rechdgungsstufe akzeptiert oder nicht akzepdert war- 
den. 

17. Verfahren nach einem der vorhergehenden • An- 15 
spriiche, dadurch gekennzeichnet, daB eiae Sicher- 
heitseinrichtung in einem Fahrzeug zumindest spora- 
disch eine Authentitatsprufung eines Steuergerates 
durchfuhri und das Steuergerat bei negativem Ergebnis 
registriert. 20 

18. Verfahren nach Anspruch 17, dadurch gekenn- 
zeichnet, daB im Steuergerat ein sieuergerateindividu- 
eller geheimer Code hinterlegt ist. 

19. Verfahren nach Anspruch 17 oder 18, dadurch ge- 
kcnnzcichnct, daB die Sichcrhcitscinrichtung cin stcur 25 
ergeriitespezifisches Merkmal abfragt und dieses auf 
Authentitat priift. 

20. Verfahren nach einem der Anspruche 17 bis 19, 
dadurch gekennzeichnet, daB bei der Authendtatsprii- 
tung ein in der Sicherheitseinrichtung und/oder ein in 30 
dein Steuergerat hinterlegter Schlussel verwendet wird. 
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